Richten Sie Ihr ein Now PlatformInstanz für Splunk Enterprise Event IngestionIntegration

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 2 Minuten Lesedauer
  • Im folgenden Abschnitt werden die Setup-Aufgaben aufgeführt, die Sie in ausführen müssen Now Platform®Instanz vor der Installation der Anwendung über ServiceNow Store.

    Vorbereitungen

    Erforderliche Rolle: Administrator

    Warum und wann dieser Vorgang ausgeführt wird

    Überprüfen Sie anhand der folgenden Tabelle, ob Sie alle aufgeführten Aufgaben abgeschlossen haben, bevor Sie die Anwendung herunterladen und installieren, um eine reibungslose Installation und Konfiguration sicherzustellen.

    Prozedur

    1. Stellen Sie sicher, dass Sie die erforderliche zugewiesen haben Now Platform®Und Rollen für die Reaktion auf Security Incidents (SIR).

      Die folgenden Rollen sind für die Installation, das Setup und die Verwendung der Integration in erforderlich Now Platform®Instanz.

      • Ein Anwender mit Now Platform®Die Administratorrolle (admin) installiert die Anwendung über ServiceNow StoreUnd weist die Rolle Security Incident-Administrator (sn_si.admin) zu.
      • Wenn Sie Ereignisse manuell von weiterleiten möchten Splunk EnterpriseFür diese Integration ein Anwender mit Now Platform®Die administratorrolle weist einem Anwender die Rolle (sn_sec_splunk_v2.api_account_access) in zu Now Platform®. Diese Rolle ermöglicht einem Anwender die Verwendung von Splunk EnterpriseAdministratorrolle für den Zugriff auf die API in Now Platform®Dies ist für die manuelle Ereignisweiterleitung für diese Integration erforderlich.

        Die Rolle (sn_sec_splunk_v2.api_account_access) ist für die Integration nicht erforderlich, wenn Sie Warnungen automatisch von erfassen Splunk EnterpriseIn Ihr Now Platform®Instanz.

      • Ein Anwender mit der Rolle „sn_si.admin“ überwacht die folgenden Aufgaben in Now Platform®:
        • Benennt, erstellt und bearbeitet Warnungs- und Ereignisprofile.
        • Wählt Werte aus Warnungen und Ereignissen aus und ordnet sie zu Now Platform®Security Incidents.
        • Zeigt Security Incident-Details vor dem Abschluss der Konfiguration auf Richtigkeit an.
        • Plant die laufende Warnungserfassung.
        • Weist die Rolle „Security Incident-Analyst“ (sn_si.Analyst) zu.
        • Anwender mit dem sn_si.Analyst arbeiten mit Security Incidents.

      Weitere Informationen zu Rollen und dem Zuweisen von Rollen an Anwender finden Sie unter Managing roles.

    2. Stellen Sie sicher, dass Sie Version 6,0 oder höher von verwenden SplunkAPI.

      Wenn Sie Zugriff auf haben Splunk EnterpriseKonsole haben Sie Zugriff auf die API, die für diese Integration erforderlich ist. Für die API ist kein anderes spezielles Setup erforderlich.

    3. Stellen Sie sicher, dass Sie einen MID-Server installiert und konfiguriert haben.

      Ein MID-Server in Ihrem Now Platform®Instanz ist erforderlich, um eine Verbindung mit herzustellen SplunkService, wenn SplunkServer wird in Ihrem Unternehmensnetzwerk bereitgestellt. Weitere Informationen zu MID-Servern finden Sie unter MID-Server

      Wenn Sie verwenden Splunk CloudService, ein MID-Server ist nicht erforderlich.

    4. Überprüfen Sie, ob ServiceNowKernanwendungen, die zur Unterstützung der Integration erforderlich sind, werden installiert und aktiviert.

      Die Security Incident ResponseAbhängigkeits-Plugin (com.snc.si_dep) ist erforderlich. Dieses Plugin installiert automatisch alle Abhängigkeiten, die zur Unterstützung von erforderlich sind Security Incident ResponseProdukt. Installieren und aktivieren Sie dieses Plugin, bevor Sie das andere installieren und aktivieren Security OperationsFür die Integration erforderliche Anwendungen.

      Überprüfen Sie Folgendes Security OperationsAnwendungen werden über installiert und aktiviert ServiceNow Store. Wenn nicht installiert, installieren und aktivieren Sie jeweils eine Anwendung in der folgenden Reihenfolge, um eine reibungslose Installation sicherzustellen.

      1. Security Incident Response
      2. Sicherheitsintegrations-Framework
      3. Allgemeiner Sicherheitssupport
      4. Orchestration Des Sicherheitssupports

      Weitere Informationen zur Installation von Security OperationsKernanwendungen, siehe Berechtigung für abrufen Security OperationsProdukt oder AnwendungUnd Aktivieren Sie ein ServiceNow StoreAnwendung.

    Nächste Maßnahme

    Sie haben erfolgreich eingerichtet Now Platform®Instanz für die Integration. Der nächste Schritt besteht in der Installation von Splunk Enterprise Event IngestionAnwendung von ServiceNow StoreFür die Integration. Weitere Informationen finden Sie unter Installieren und konfigurieren Sie ServiceNowAnwendung für Splunk Enterprise Event IngestionIntegration.

    Wenn Sie keine Suchvorgänge in gespeichert haben Splunk EnterpriseKonsole für Erfassung oder wenn Sie das erste Setup für diese Integration in durchführen Splunk EnterpriseKonsole und Security OperationsProdukt von Now Platform®Instanz gleichzeitig, siehe Speichern Sie Suchen in Splunk EnterpriseKonsole für Splunk Enterprise Event IngestionIntegrationFür weitere Informationen.

    Wenn Sie Ereignisse manuell und bei Bedarf von exportieren möchten Splunk EnterpriseKonsole für die Integration siehe Richten Sie Ihr ein SplunkUmgebung für die manuelle Ereigniserfassung für Splunk EnterpriseIntegration der EreigniserfassungFür weitere Informationen.